Freigeben über


Sicherheitsrisikobewertung für SQL Server

Gilt für: SQL Server

Die SQL-Sicherheitsrisikobewertung ist ein benutzerfreundliches Tool, das Sie beim Ermitteln, Verfolgen und Beheben potenzieller Datenbank-Sicherheitsrisiken unterstützt. Verwenden Sie es zur proaktiven Verbesserung Ihrer Datenbanksicherheit.

Hinweis

Das Tool zur Sicherheitsrisikobewertung ist in SQL Server Management Studio (SSMS) oder später in 19.1 für SQL Server 2012 (11.x) und spätere Versionen verfügbar.

Entfernen der SQL-Sicherheitsrisikobewertung in SQL Server Management Studio 19.1

Die SQL-Sicherheitsrisikobewertung in SSMS bietet eine Möglichkeit, mögliche Sicherheitsfehler in Ihren SQL Server-Datenbanken auf getrennte Weise, auf SQL Server 2012 (11.x) und höhere Versionen zu überprüfen und zu melden. Diese Funktion wird in ein umfassendes Datenbanksicherheitspaket konsolidiert, das Microsoft Defender für SQL genannt wird, mit dem Sie Überprüfungen der Sicherheitsrisiken durchführen und Echtzeitangriffe auf Ihre Datenbank über Cloud- und lokale Ressourcen hinweg identifizieren können. Defender für SQL bietet Kunden die neuesten Updates für Scanregeln und aktualisierte Algorithmen zum Bedrohungsschutz.

Umgekehrt nutzt die SQL-Sicherheitsrisikobewertung in SSMS keine Ergebnisse von Defender for Cloud, und es können keine Ergebnisse aus lokalen Scans hochgeladen werden. Darüber hinaus empfängt die SQL-Sicherheitsrisikobewertung auf SSMS keine Updates in Echtzeit, was zu Inkonsistenzen im Vergleich zu den aktualisierten Ergebnissen von Defender for Cloud führen kann. Um weitere Verwirrungen und Inkonsistenzen in den Sicherheitserfahrungen von Kunden zu verhindern, haben wir die SQL-Sicherheitsbewertung von SSMS ab Version 19.1 entfernt. Die SQL-Sicherheitsrisikobewertung bleibt zwar in älteren SSMS-Versionen verfügbar, es wird jedoch empfohlen, Microsoft Defender für SQL zu verwenden, um die Sicherheitskonfiguration Ihrer Umgebung unabhängig von Ihrer SSMS- oder SQL-Version zu bewerten.

Weitere Informationen finden Sie unter Aktivieren von Microsoft Defender für SQL Server auf Computern und Scannen Ihrer SQL Server auf Schwachstellen.

Für Azure SQL-Datenbank, Azure Synapse Analytics und SQL Managed Instance verwenden Sie Microsoft Defender für SQL-Datenbank.

Features der Sicherheitsrisikobewertung

Die SQL-Sicherheitsrisikobewertung (Vulnerability Assessment, VA) ist ein Dienst, der einen Einblick in Ihren Sicherheitsstatus bietet sowie die Aktionsschritte zum Beheben von Sicherheitsproblemen und Verbessern Ihrer Datenbanksicherheit einschließt. Sie kann Ihnen die Durchführung folgender Aufgaben erleichtern:

  • Erfüllen der Konformitätsanforderungen, die Datenbanküberprüfungs-Berichte erfordern
  • Einhalten von Datenschutzstandards
  • Überwachen einer dynamischen Datenbankumgebung, in der Änderungen schwer zu verfolgen sind

Der VA-Dienst führt eine direkte Überprüfung der Datenbank durch. Der Dienst wendet eine Wissensdatenbank mit Regeln an, die Sicherheitsrisiken kennzeichnen und Abweichungen von bewährten Methoden wie Fehlkonfigurationen, übermäßige Berechtigungen und ungeschützte sensible Daten hervorheben. Die Regeln basieren auf den von Microsoft empfohlenen bewährten Methoden und konzentrieren sich auf die Sicherheitsprobleme, die die größten Risiken für Ihre Datenbank und Ihre wertvollen Daten darstellen. Diese Regeln spiegeln darüber hinaus viele Anforderungen verschiedener Aufsichtsbehörden wider, um deren Konformitätsstandards zu erfüllen.

Zu den Ergebnissen der Überprüfung zählen Aktionsschritte zum Beheben der jeweiligen Probleme und ggf. das Bereitstellen benutzerdefinierter Skripts zur Wiederherstellung. Ein Bewertungsbericht kann für Ihre Umgebung angepasst werden, indem eine akzeptable Baseline für Berechtigungskonfigurationen, Featurekonfigurationen und Datenbankeinstellungen festgelegt wird.

Voraussetzungen

Dieses Feature ist nur in SQL Server Management Studio (SSMS) v17.4 oder höher verfügbar. Die neueste Version finden Sie hier.

Erste Schritte

Führen Sie die folgenden Schritte aus, um eine Sicherheitsrisikoüberprüfung für Ihre Datenbank auszuführen:

  1. Öffnen Sie SQL Server Management Studio.

  2. Stellen Sie eine Verbindung mit einer Instanz der SQL Server-Datenbank-Engine oder mit localhost her.

  3. Erweitern Sie Datenbanken, klicken Sie mit der rechten Maustaste auf eine Datenbank, zeigen Sie auf Aufgaben, wählen Sie Sicherheitsrisikobewertung und dann Auf Sicherheitsrisiken überprüfen... aus.

  4. Sie können eine Überprüfung ausführen, bei der eine der Systemdatenbanken überprüft wird, um Probleme auf Serverebene festzustellen. Erweitern Sie Systemdatenbanken, klicken Sie mit der rechten Maustaste auf die Datenbank master, zeigen Sie auf Aufgaben, wählen Sie Schwachstellenbewertung und wählen Sie Nach Schwachstellen scannen... aus

Screenshot: So legen Sie los.

Tutorial

Mit den folgenden Schritten führen Sie Sicherheitsrisikobewertungen für Ihre Datenbanken aus und verwalten sie.

1. Führen Sie eine Überprüfung durch

Im Dialogfeld Auf Sicherheitsrisiken überprüfen können Sie den Speicherort angeben, wo Überprüfungsergebnisse gespeichert werden. Sie können den Standardspeicherort beibehalten oder Durchsuchen... anwählen, um die Überprüfungsergebnisse an einem anderen Speicherort zu speichern.

Wenn Sie zur Überprüfung bereit sind, klicken Sie auf OK, um Ihre Datenbank auf Sicherheitsrisiken zu überprüfen.

Hinweis

Die Überprüfung belastet die Ressourcen nicht und ist sicher. Sie dauert ein paar Sekunden und ist vollständig schreibgeschützt. Es werden keine Änderungen an Ihrer Datenbank vorgenommen.

Screenshot, der zeigt, wie Sie eine Scan-Datei speichern.

2. Anzeigen des Berichts

Wenn die Überprüfung abgeschlossen ist, wird Ihr Überprüfungsbericht automatisch im primären SSMS-Bereich angezeigt. Der Bericht bietet eine Übersicht über Ihren Sicherheitsstatus – wie viele Probleme gefunden wurden, und ihre jeweiligen Schweregrade. Zu den Ergebnissen zählen Warnungen zu Abweichungen von bewährten Methoden sowie eine Momentaufnahme Ihrer sicherheitsbezogenen Einstellungen. Zu diesen Einstellungen gehören Datenbankprinzipale und Rollen sowie die zugehörigen Berechtigungen. Der Überprüfungsbericht liefert außerdem eine Zuordnung der in Ihrer Datenbank ermittelten vertraulichen Daten und enthält Empfehlungen der verfügbaren integrierten Methoden zu ihrem Schutz.

Screenshot der Ergebnisse des Scans.

3. Analysieren Sie die Ergebnisse, und beheben Sie Probleme

Werten Sie Ihre Ergebnisse aus, und bestimmen Sie, welche Ergebnisse im Bericht echte Sicherheitsprobleme in Ihrer Umgebung sind. Führen Sie einen Drilldown für jedes fehlgeschlagene Ergebnis aus, um die Auswirkung des Ergebnisses und die Gründe für die fehlgeschlagenen Sicherheitsüberprüfungen nachvollziehen zu können. Nutzen Sie die Informationen des Berichts zu Wiederherstellungsaktionen, um das Problem zu beheben.

Screenshot mit Ergebnisdetails.

4. Legen Sie Ihre Baseline fest

Wenn Sie Ihre Bewertungsergebnisse überprüfen, können Sie bestimmte Ergebnisse als akzeptable Baseline für Ihre Umgebung markieren. Die Baseline ist im Wesentlichen eine Anpassung der Art, in der die Ergebnisse berichtet werden. Wenn Ergebnisse in nachfolgenden Überprüfungen mit der Baseline übereinstimmen, wird dies als Bestehen gewertet.

Nachdem Sie Ihren Baselinesicherheitsstatus festgelegt haben, meldet eine VA nur Abweichungen von der Baseline, und Sie können Ihre Aufmerksamkeit auf die relevanten Probleme konzentrieren.

Screenshot: Festlegen einer Baseline.

5. Führen Sie eine neue Überprüfung zum Anzeigen Ihres benutzerdefinierten Nachverfolgungsberichts aus

Nachdem Sie die Einrichtung der Baselines für Ihre Regeln abgeschlossen haben, führen Sie eine neue Überprüfung aus, um den benutzerdefinierten Bericht anzuzeigen. VA meldet jetzt nur Sicherheitsprobleme, die Abweichungen vom genehmigten Baselinestatus darstellen.

Screenshot mit Weitergabe pro Baseline.

6. Öffnen einer zuvor ausgeführten Überprüfung

Sie können jederzeit eine vorhandene Überprüfung öffnen, um die Ergebnisse zuvor ausgeführter Sicherheitsrisikobewertungen anzuzeigen. Hierzu klicken Sie mit der rechten Maustaste auf eine Datenbank, zeigen auf Aufgaben, wählen Sicherheitsrisikobewertung aus und klicken auf Vorhandene Überprüfung öffnen.... Wählen Sie die Überprüfungsergebnisdatei aus, die Sie anzeigen möchten, und klicken Sie auf Öffnen.

Sie können ein vorhandenes Überprüfungsergebnis auch über das Menü Datei ->Öffnen öffnen. Wählen Sie Sicherheitsrisikobewertung... aus, und öffnen Sie das Verzeichnis scans, um das Überprüfungsergebnis zu finden, das Sie anzeigen möchten.

Ein Screenshot zeigt Ihnen wie Sie einen bereits bestehenden Scan öffnen.

VA kann jetzt verwendet werden, um zu überwachen, ob Ihre Datenbanken jederzeit eine hohe Sicherheitsstufe einhalten und Ihre Unternehmensrichtlinien erfüllt werden. Wenn Konformitätsberichte erforderlich sind, können VA-Berichte hilfreich sein, um den Konformitätsprozess zu vereinfachen.

Verwalten von Sicherheitsrisikobewertungen mit PowerShell

Mithilfe von PowerShell-Cmdlets können Sie Sicherheitsrisikobewertungen für Ihre Server-Instanzen mit SQL Server programmgesteuert verwalten. Mit den Cmdlets können Sie Bewertungen programmgesteuert ausführen, die Ergebnisse exportieren und Baselines verwalten. Laden Sie zunächst das aktuelle PowerShell-Modul für SQL Server von der PowerShell-Katalog-Website herunter. Weitere Informationen erhalten Sie hier.

Nächste Schritte